連結至 Google

您可以透過多種方式,將在內部部署資料中心執行的 Google Distributed Cloud 叢集連線至 Google Cloud網路。可能包括:

穩定的網際網路連線

在特定情況下,您可以透過網際網路連線,在 Google 和地端部署資料中心之間建立連線。例如:

  • Google Distributed Cloud 部署作業會自行封裝在您的地端部署環境中,地端部署元件很少與 Google Cloud網路通訊。您主要使用這個連線進行叢集管理。連線速度、可靠性和安全性並非必要條件。

  • 除了存取 Cloud SQL 等 Google 服務外,您的內部部署叢集是獨立運作。內部部署叢集與 Google 服務之間的流量會使用公開 IP 位址。您可設定防火牆規則來確保安全。

高可用性 VPN

透過高可用性 VPNCloud Router,Google 與地端資料中心之間的流量會經過公開網際網路,但會經過加密。地端元件可以使用專屬 IP 位址與雲端元件通訊。Cloud Router 會在 Google Cloud 網路與內部部署網路之間動態交換路徑。當網路擴充和變更時,動態路由特別有益,因為可確保正確的路由狀態傳播至內部部署資料中心。

合作夥伴互連網路

合作夥伴互連網路透過支援的服務供應商,在您的內部部署網路及Google Cloud 網路之間提供連線能力。Google 與內部部署資料中心之間的流量不會周遊公開網際網路。內部部署元件可以使用私人 IP 位址與雲端元件通訊。與 Google 的連線快速、安全又穩定。

專屬互連網路

專屬互連網路提供實體連線,讓您直接連結地端部署網路與Google Cloud 網路。如果您需要高頻寬,這類連線可能具有成本效益。Google 與內部部署資料中心之間的流量不會周遊公用網際網路。內部部署元件可以使用私人 IP 位址與雲端元件通訊。連線至 Google 時,您可享有安全可靠的連線,速度甚至比使用合作夥伴互連網路連線更快。

暫時中斷連線的影響

如要瞭解中斷連線的影響,請參閱「暫時中斷與 Google Cloud 連線的影響」。

選擇連線類型

如需選擇連線類型的其他指引,請參閱:

網路監控

無論您如何建立與 Google 的基本連線,都能從網路記錄和監控提供的洞察資料獲益。詳情請參閱 Google Distributed Cloud 的記錄和監控

強化基本連結

建立基本連線後,即可新增功能,提升存取權、安全性及可見度。舉例來說,您可以啟用私人 Google 存取權連線

本主題其餘指引假設您使用下列其中一個選項,與 Google 建立基本連線:

私人 Google 存取權

私人 Google 存取權可讓只有私人 IP 位址的 VM 連上 Google API 和服務的 IP 位址。這個情境包括 Google Distributed Cloud 叢集節點只有私人 IP 位址的情況。您會在子網路層級啟用私人 Google 存取權。

透過私人 Google 存取權,從內部部署資料中心傳送至 Google 服務的要求會經過 Cloud Interconnect 或 Cloud VPN 連線,而非公用網際網路。

在下列情況下使用私人 Google 存取權:

  • 沒有公開 IP 位址的內部部署 VM 必須連線至 BigQuery、Pub/Sub 或 Container Registry 等 Google 服務。

  • 您想連線至 Google 服務,但不想經過公開網際網路。

如需支援從內部部署 VM 使用 Google 私人存取權的服務清單,請參閱「支援的服務」。如要瞭解如何從內部部署 VM 使用私人 Google 存取權,請參閱為內部部署主機設定私人 Google 存取權

不需要 Google 私人存取權的服務

有時,您不需要私人 Google 存取權,就能從只有私人 IP 位址的 VM 連上服務。例如:

  • 您建立的 Cloud SQL 執行個體同時具有公開 IP 位址和私人 IP 位址。這樣一來,您的地端元件就能使用私人 IP 位址存取 Cloud SQL 執行個體。由於您不需要連線至 Google 服務的公開 IP 位址,因此不需要私人 Google 存取權。只有在 Cloud Router 將 Cloud SQL 執行個體的私人 IP 位址通告給內部部署網路時,這個方法才有效。

  • 您在 Google Cloud中擁有 Google Distributed Cloud 叢集,且叢集節點具有私人 IP 位址。內部部署元件可以存取雲端 Google Distributed Cloud 叢集中的 NodePort 服務或內部負載平衡器服務。

VPC Service Controls

如要加強防範資料外洩,可以使用 VPC Service Controls。 透過 VPC Service Controls,您可以為 Google 代管服務的資源設定安全範圍,並控管跨服務邊界的資料移動。

如果您使用 VPC Service Controls,執行部分 gkectl 指令 (例如 "Validation Category: GCP - [UNKNOWN] GCP service: [Stackdriver] could not get GCP services") 時可能會看到錯誤訊息。如要避免發生這些錯誤,請在指令中加入 --skip-validation-gcp 參數。

連線

Connect 可讓您透過 Google Cloud 控制台查看及管理內部部署使用者叢集。

後續步驟